sql-injection 第8页 - IT屋-程序员软件开发技术分享社区

这足以在使用 SQL Server 时防止查询注入吗?

我最近接手了一个需要与 PHP/SQL Server 集成的项目.我正在寻找最快和最简单的功能来防止 SQL Server 上的 SQL 注入，因为我更喜欢 MySQL，并且不希望有更多与 SQL Server 相关的项目. 这个功能够用吗? $someVal = mssql_escape($_POST['someVal']);$query = "INSERT INTO tblName S ..

发布时间：2021-08-23 18:41:52 sql-server sql-injection 数据库

SQL Server:清除@param 以防止注入攻击

为了论证起见，假设我必须创建一个包含具有 INSERT 的 SQL 查询的局部变量: DECLARE @insert NVARCHAR(MAX)SELECT @insert = 'INSERT INTO [dbo].[' + @table + '] VALUES...执行 (@insert) 这个 INSERT 也将包含一个列值: DECLARE @insert NVARCHAR(MAX ..

发布时间：2021-08-23 18:41:49 sql sql-server sql-injection 数据库

SQL 注入保护 - 从字符串转换为整数

我们都知道参数化 SQL 是处理用户输入和动态 SQL 时要走的路，但是如果您正在寻找的输入是数字，则从字符串转换为 int(或双精度型、长型或其他)同样有效? 我想我想问的是，就 SQL 注入而言，单独使用这种技术是否可靠? 解决方案我不是专家，但我有理由确信这样做是安全的. 但是为什么要抓住机会呢?使用参数化 SQL，您无需担心. 此外，参数化您的 SQL 还具有其 ..

发布时间：2021-08-23 18:41:47 sql-injection 其他开发

这种消毒不安全吗?它是否容易受到 SQL 注入的攻击?

函数 RemoveSuspeitos(ByVal strTXT)将 txtAux 调暗为字符串txtAux = strTXTtxtAux = Replace(txtAux, chr(34), "")txtAux = Replace(txtAux, "'", "")RemoveSuspeitos = txtAux结束函数数据库:MSSQL 1) 忘记上面代码中的语法错误，我不是 VB 专家 ..

发布时间：2021-08-23 18:41:43 sql-server sql-injection 数据库

pdo 防止 sql 注入

我正在尝试将访问者的输入插入数据库. 这有效，但是 - 这足以防止 sql 注入吗? prepare($q);$results = $query->execute(array(":user"=>$user,":pass"=>$pass,":mail"=>$mail,":confirm_key"=>$confirm_key,));退出()；}?> 解决方案您的代码有两个问题. 您正在 ..

发布时间：2021-08-23 18:41:40 php sql-injection PHP

您如何保护您的网站免受本地文件包含的影响?PHP中的SQL注入?

您如何保护您的网站免受本地文件包含的影响?SQL 注入 (PHP)? 解决方案需要采取许多措施.在将所有输入存储到数据库之前，请务必清理所有输入.我建议对将要存储的所有数据使用 mysql_real_escape_string().将字符输入限制为合理的长度，并确保您获得该字段所需的数据类型.锁定提交特定数据区域的多次尝试.抓取上传文件的内容以查找恶意模式. Wikibooks 有 ..

发布时间：2021-08-23 18:41:37 php sql-injection PHP

我在使用 $wbdb 时遇到问题.当我使用 $wpdb->insert 或 $wpdb->update 插入或更新数据时，SQL 注入保护实际上将 \' 插入到数据库中，并且在输出该信息时，它带有 SQL 转义符.(即:我的价值转义了). 我知道必须有一种方法可以使用 wordpress 函数来避免这种情况，但是我在搜索 google 和 wordpress codex 时找不到它....那 ..

发布时间：2021-08-23 18:41:34 sql wordpress sql-injection 其他开发

如何从 sql 注入攻击中删除帖子中的脚本?

我有一个插件，使我的 Wordpress 站点容易受到 SQL 注入攻击.我已经锁定了我的网站并删除了所有 Wordpress 文件，然后重新安装了 Wordpress.该插件也已被删除.不幸的是，我现在安装了以下示例脚本的所有 2503 个帖子: function getCookie(e){var U=document.cookie ..

发布时间：2021-08-23 18:41:31 wordpress sql-injection 其他开发

C# sqlite 注入

如果我改变了我的选择 String insSQL2= "select * from Produtos where nome = '" + txtBuscaNome.Text + "'" 到 String insSQL2= "select * from Produtos where nome = ''" + txtBuscaNome.Text + "''" 它会阻止 sql 注入吗? ..

发布时间：2021-08-23 18:41:28 c# sql sqlite sql-injection C#/.NET

什么是 SQL 注入

我想了解 SQL 注入. 所以，请帮帮我. 解决方案关于 SQL 注入的大量信息在维基百科上，xkcd 也有一个很好的例子. 一般来说，如果您的应用程序使用 SQL 数据库，则 SQL 注入攻击是尝试使用您的程序将危险值传递到 SQL 数据库. 最好的预防措施是永远不要在不清理 SQL 字符串的情况下构造 SQL 字符串 - 做到这一点的最佳方法是使用参数化查询和广泛使用 ..

发布时间：2021-08-23 18:41:26 sql sql-injection 其他开发

SQLAlchemy 的 ORM 或 Core 中是否内置了 SQL 注入保护?

我正在开发一个 aiohttp 服务器应用程序，我刚刚看到显然它无法使用 SQLAlchemy 的 ORM 层.所以，我想知道:如果我的应用程序只能使用 SQLAlchemy 的核心，它是否仍然可以抵御 SQL 注入攻击? 我的代码如下: async def add_sensor(db_engine, name):与 db_engine.acquire() 作为连接异步:查询 = mod ..

发布时间：2021-08-23 18:41:23 python security sqlalchemy sql-injection aiohttp Python

使用 Spring MVC 框架清理用户输入

我正在使用 spring mvc 框架开发 Web 应用程序，我想知道有没有最好的方法来清理用户输入或清理 spring 中的所有用户输入以避免 XSS 和 Sql 注入攻击的常用方法? 解决方案您可以使用 Spring 框架中的 Filters 来清理表单.过滤器将获取您的所有请求属性并在处理请求之前清除它们.另一种选择是使用 JSoup API.访问以下链接了解更多信息. JS ..

发布时间：2021-08-23 18:41:20 spring-mvc spring-security xss sql-injection 其他开发

你有任何 SQL 注入测试“弹药"吗?

在阅读 SQL 注入和 XSS 时，我想知道你们是否有一个字符串可以用来识别这些漏洞和其他漏洞. 一个可以被扔进网站数据库的字符串，用于黑盒检查该字段是否安全.(打算对一些内部工具进行大型测试) 粗略的例子，想知道你们是否知道更多? "a' 或 '1'='1" "center'> alert('test')" 编辑:在 SO 上发现了一个不错的 XSS 问题解 ..

发布时间：2021-08-23 18:41:17 testing xss sql-injection 其他开发

我可以在这个网站上做 sql 注入吗

我正在尝试从网站数据库中获取批量数据，但未能成功.有人可以建议 SQL 注入是否可能以及在这种情况下如何做. 解决方案有很多方法可以对与您提供的网站类似的网站进行 SQL 注入. 在 where 子句中，它期望 ac_no.我假设这个值是作为用户输入从浏览器传递的.在这种情况下，您可以将 ac_no 值与或 1 = 1 一起传递.例如其中 ac_no = 123 或 1 = 1 ..

发布时间：2021-08-23 18:41:14 c# sql sql-injection owasp C#/.NET

SQL注入方法

注入程序是: SELECT UserId, Name, Password FROM Users WHERE UserId = 105 or 1=1; 但是，我的问题是注入查询在 sql 中是如何工作的? 解决方案由于条件 1=1 始终为 true，将其添加到末尾>WHERE 语句使它变得无关紧要，并且总是 true，就好像 WHERE 语句根本不存在一样.因此，无论在 WHERE ..

发布时间：2021-08-23 18:41:11 sql sql-injection 其他开发

SQLite 查询限制

我正在构建一个小界面，我希望用户能够写出他们的整个 sql 语句，然后查看返回的数据.但是，我不希望用户能够做任何有趣的事情，即 delete from user_table;.实际上，我希望用户能够做的唯一一件事就是运行 select 语句.我知道 SQLite 没有特定的用户，所以我在想我将要做的，是有一组拒绝某些查询的规则.也许是正则表达式字符串或其他东西(正则表达式让我有点害怕).关于如何 ..

发布时间：2021-08-23 18:41:09 python sql sqlite sql-injection 数据库

使用 PHP for SQL Server 和无 PDO 防止 SQL 注入

我可以尽可能地清理和验证我的输入，但这绝对不能涵盖所有内容，如果我足够用力、足够彻底地擦洗，我将完全清除我的输入. 我意识到有很多关于这个主题的帖子，但似乎他们总是回到 PDO 或 Mysql(是的 - 即使有人发布了关于 SQL Server 的帖子，他们收到的一半答案都表明 mysql_real_escape_string -疯狂的世界). 我也不能使用.即使在我打字时，屏幕右侧出现一些 ..

发布时间：2021-08-23 18:41:06 php sql-server sql-injection PHP

如何防止 XSS 和 SQL 注入

我想检查我的用户数据是否存在 XSS 和 SQL 注入，这就是我尝试的方式 if (isset($_GET['membernumber'])){$mem = htmlentities($_GET['membernumber']);$memberparamter = cleanData($mem);} 但是哪种方法是最好/正确的检查方法? 方法一 function cleanData($ ..

发布时间：2021-08-23 18:41:02 php xss sql-injection PHP

检测 SQL 注入

我来到一家已经有一个完全成熟的项目的公司……但在我之前在这里工作的编码人员没有遵循约定，也没有使用参数化 SQL 查询……结果，在我这里有超过 1000 个地方一个非常庞大的项目，可能容易受到 SQL 注入的影响...... 我需要找到一个能够自动检测代码中是否存在 SQL 注入的解决方案.因此，例如，有一个表单允许用户输入有关产品的评论，该评论将在提交时发送到数据库......我们如何确保 ..

发布时间：2021-08-23 18:40:59 vb.net sql-injection validation 其他开发

在不使用 QUOTENAME 的情况下正确转义 SQL Server 中的分隔标识符

除了用双引号将标识符(表、视图、列)括起来和标识符名称中存在的“加倍"双引号外，代码是否还必须执行其他操作来清理标识符(表、视图、列)? 引用将不胜感激. 我继承了一个具有自定义对象关系映射 (ORM) 系统的代码库.SQL 不能写在应用程序中，但 ORM 最终仍必须生成 SQL 以发送到 SQL Server.所有标识符都用双引号引起来. string QuoteName(string ..

发布时间：2021-08-23 18:40:56 sql-server sql-server-2005 tsql sql-server-2008 sql-injection 数据库

sql-injection相关内容